记一次清理服务器挖矿程序注入kdevtmpfs

前几天突然发现公司服务器很卡，CPU经常飙到200%；网站服务被自动停止，甚至服务器崩溃；于是进行排查，发现一个名为：kdevtmpfs的进程占用了180%多的CPU，吓了一跳，于是赶紧排查问题：首先查到这个进程并不少我们服务器用到的进程，于是在网上查找这个问题，发现很多人都遇到过，于是根据网上的一个教程开始清理：

1、删除掉/tmp文件下的kdevtmpfs文件；删除掉kdevtmpfs对应的进程，清理掉定时任务；（无效，几分钟后依然会自动重启，自动在定时任务新增定时任务）（ >服务器CPU使用率50%，被两个进程占用，名称分别为
-mysql
zfsutils-md5sum

使用crontab -l查看定时任务，发现病毒文件-mysql

查看这个/var/log/目录，发现更多病毒文件，-mysql是个脚本，内容如下

查看/etc/crontabdaily目录，发现一个文件名为ntpdate

/bin/sysprg创建日期与ntupdate是同一天，文件大小与x86_64相同，无疑也是个病毒文件。

进入到/var/spool/cron目录查看文件权限，发现被加了保护，使用lsattr去除，再编辑删除内容即可

禁用crontab

云服务器中挖矿病毒的清除过程（一）
云服务器中挖矿病毒的清除过程（二）

您好，不是显卡坏了，是显卡的程序出现错误。在检测显卡挖矿性能的时候，显卡的程序正在运行中，突然停止会直接导致显卡程序运行错误，间接导致屏幕出现花屏、黑屏等现象。你重启电脑程序应该会恢复正常的。如果还是不正常，下载‘驱动精灵’检测显卡驱动是否有问题，有问题的话卸载重装就可以了。

故障现象：使用过程中，发现经常有服务无故关闭，登录服务器经检查，发现CPU使用率达到100%。在检测异常进程中，未发现CPU使用率异常的进程（使用 top、htop 以及 ps -aux 进行检查），于是报障。

检测过程：

1找到他shell脚本对应目录把目录或者文件删除。

2检查定时任务是否存在挖矿木马文件在定时任务中，避免定时运行挖矿木马文件。

3添加hosts挖矿病毒访问对应网站，避免二次访问并下载。

4排查liunx命令是否损坏，如损坏下载"procps-328"并编译，恢复top等系列命令。

5检测进程是否异常。

6排查入侵入口，例如 redis是否存在弱口令，nginx或者apache上面的网站程序是否存在漏洞，并排查下nginx或者apache日志审查漏洞所在处。

7排查ssh登录日志。

8把ssh登录切换成秘钥登录。

9重启服务器，检查是否进程是否正常。

服务器CPU飙升到100%，发现可以进程 kdevtmpfsi
网上查资料，是因为 redis 漏洞引起的，但服务器上并没有装 redis，后来再国外的网站查到可能是因为 laravel 的版本引起的
>